Segurança em Tempos de Marco Civil
No dia 22 de abril de 2014, foi aprovada uma nova lei a fim de regular, de maneira ativa, punir e fiscalizar se as empresas atuavam de maneira correta no ambiente da internet.
Um dos pontos mais relevantes levantados pela lei é o vazamento de informações, que a partir desse momento torna-se responsabilidade da empresa resultando em multas exorbitantes, caso alguma informação restrita seja disponibilizada.
Citaremos alguns cases recentes sobre o assunto e discutiremos os pontos mais relevantes para garantir a segurança de seu site a fim de se proteger contra ataques que possam levar a esse problema.
Os dois casos mais recentes e mais conhecidos de vazamento de informação através da internet são os da Adobe e da Sony. No primeiro caso, ocorrido em 2013, a Adobe segundo números extra-oficiais, teve mais de 152 milhões de nomes de usuários e senhas dos usuários dos serviços da empresa foram disponibilizados na internet. o que já é considerado como sendo o maior de toda a história.
O caso piora, os 2,8 milhões de dados bancários adicionais acabarem disponibilizados como parte dessa quebra de segurança. Já no caso da Sony, em abril de 2011, 77 milhões de usuários da rede online do Playstation (PSN) tiveram seus dados pessoais como nomes, datas de nascimento, senhas e outras informações, publicadas online, o que, segundo a ICO, os tornou vulneráveis a possíveis roubos de identidade e outras fraudes online. Na época, a Sony admitiu ter sido alvo de ataques e alguns hackers do grupo Anonymous assumiram a autoria da ação, que também prejudicou outros sites da Sony.
Agora a pergunta que não quer calar: “O que fazer para diminuir a probabilidade de informações serem vazadas a partir da minha empresa?” Existem diversas maneiras de se proteger contra ataques de vazamento de informações, então antes de começar a descrever as que a nós julgamos relevantes, gostaríamos de fazer um disclaimer: esses são apenas alguns métodos de se proteger, o que não garante, 100% de proteção. esperamos que aproveitem essas ideias para conseguir melhorar o nível de segurança da sua aplicação.
Dica 1
Configuração do "robots.txt". Esse passo é simples e eficaz para se proteger contra vazamento de informações através de grandes buscadores como o Google. Com esse arquivo, você consegue configurar quais informações do seu site serão indexadas e quais não nos principais buscadores do momento. Para obter mais informações de como realizar essa configuração, sugerimos que leia o texto postado anteriormente aqui no Site Blindado Labs que aborda esse assunto.
Dica 2
Outra medida altamente recomendada é criar uma agenda de testes de invasão e correção de vulnerabilidades. Esse fator é muito importante, pois através de algumas vulnerabilidades famosas, como SQL Injection, uma pessoa mal-intencionada conseguiria ter acesso a todo o seu banco de dados, roubando todas as informações de seus clientes. Sendo assim, é altamente recomendado que se realize esses testes com frequência. O ideal seria ter uma empresa que realizasse tanto os testes de invasão manuais como os automáticos, para se manter sempre o mais protegido possível.
Dica 3
A mitigação que sugerimos é a utilização de certificados digitais do tipo SSL. Se for utilizado um certificado de alta qualidade (protocolo, cifra e chave complexas), instalado e configurado da maneira correta, é possível garantir que toda informação que trafega entre os servidores do seu site e o cliente final está encriptada, dificultando o acesso a tais informações. Como resultado, mesmo que crackers consigam capturar as informações, não conseguirão decifrá-las, dificultando o acesso aos dados, pois assim estarão protegidos durante a transmissão.
Dica 4
A nossa última sugestão de hardening para evitar vazamento de dados é a utilização de um WAF, ou Web Application Firewall (Firewall de Aplicação Web). Mesmo sendo a última mitigação apresentada, é uma das que julgamos ser a mais importante. A grande importância nos dias atuais de se utilizar um WAF com regras bem-feitas e calibradas para o seu ambiente é que, através dele, você consegue bloquear a maior parte das ameaças antes mesmo que cheguem a sua aplicação. Isso porque, antes da requisição chegar no servidor, ela tem que passar por uma aplicação que classifica se a requisição é uma ameaça ou não. Além disso, WAFs podem ajudar a proteger sua aplicação de ataques de DoS e DDoS (“Denial-of-Service” e “Distributed Denial-of-Service“, respectivamente).
Considerando-se o prejuízo imensurável dos cases acima para as empresas envolvidas e a aprovação do Marco Civil brasileiro, investimentos em segurança se tornam essenciais.
#Blindadica
Algumas das medidas acima são simples de se implementar e ajudam consideravelmente a proteger sua aplicação, enquanto outras são mais custosas, mas a proteção oferecida é muito maior.
Nenhum método sozinho pode garantir a segurança de seus dados, mas a utilização de múltiplas técnicas e ferramentas aumenta a resiliência de sua aplicação, diminuindo o risco de dano à imagem da sua empresa e punições diante da lei.
0 comentários: